DockerのPostgreSQLがマルウェアに感染した話

2.1K Views

February 06, 23

スライド概要

第8回サイバーセキュリティ勉強会2023 in 塩尻の講演資料
https://shiojiri-cyber.connpass.com/event/265052/

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

DockerのPostgreSQLが マルウェアに感染した話 第8回サイバーセキュリティ勉強会2023 in 塩尻 2023年2月4日(土) 長野県塩尻市 塩尻インキュベーションプラザ(SIP)

2.

自己紹介 ◼ ◼ ◼ ◼ ◼ 大原 慎一郎 トラストネットワークス 長野県塩尻市 IPAのセキュリティプレゼンターに登録 2016年からNISCサイバーセキュリティ月間に 合わせて毎年サイバーセキュリティ勉強会を 長野県塩尻市にて開催 2023/2/4 ©2023 Ohhara Shinichiro

3.

アジェンダ ◼ ◼ ◼ ◼ ◼ ◼ Qiitaでレポートしてバズった件 何が起きたのか? 仮想通貨マイニング・マルウェア 感染原因1・ファイアウォール設定 感染原因2・アカウント設定 セキュリティ対策 2023/2/4 ©2023 Ohhara Shinichiro

4.

Qiitaでレポートしてバズった件 ◼ Qiitaに投稿したら週間1位になりました Dockerコンテナのpostgresqlがマルウェアに感染した件について - Qiita https://qiita.com/ohhara_shiojiri/items/08909bfaed8073af57f0 2023/2/4 ©2023 Ohhara Shinichiro

5.

何が起きたのか? ◼ ◼ ◼ サーバーのロードアベレージ数値が常時4を超 えた状態に! つまりCPU負荷が常時400%超え! PostgreSQLサーバーの動作が激重に! 従量課金のクラウドの場合は毎秒毎分で料金 が加算されて莫大な利用料金の請求が来る 事態になりかねない! 2023/2/4 ©2023 Ohhara Shinichiro

6.

仮想通貨マイニング・マルウェア ◼ ◼ ◼ ◼ CPU負荷の原因プロセスの調査 Dockerコンテナのリソース状態 /tmp/kinsing /tmp/kdevtmpfsi Kinsing(kdevtmpfsi)マルウェア Dockerホストで仮想通貨をマイニングしてCPU 負荷を掛けるマルウェア 2023/2/4 ©2023 Ohhara Shinichiro

7.

感染原因1・ファイアウォール設定 ◼ ◼ ◼ サービスポートの外部公開設定 (PostgreSQLの場合TCP:5432) ファイアウォールの設定場所 1.ネットワーク側 2.ホスト側 3.Docker側 設定を2で行ったが実際は3で失敗している 2023/2/4 ©2023 Ohhara Shinichiro

8.

感染原因2・アカウント設定 ◼ ◼ ◼ DockerのPostgreSQLのアカウント設定 初期設定ではアカウントとパスワードが共に 「postgres」と記述されている 初期設定のままPostgreSQLのDockerコンテナ を起動させて失敗している 2023/2/4 ©2023 Ohhara Shinichiro

9.

セキュリティ対策 ◼ 正しくファイアウォールを設定 ◼ ◼ ◼ 意図したサービスポートの設定か確認する 必ずサービス前に動作確認する 正しくアカウントを設定 ◼ ◼ 2023/2/4 認証を必要とするサービスの資格情報を確認 安易なパスワードを設定しない事 ©2023 Ohhara Shinichiro

10.

ご清聴ありがとうございました ◼ ◼ ◼ ご質問やご意見、ご感想は質疑応答の際にお 申し出ください。 この講演内容は個人的なものであり、所属に 関わらず特定の組織の意見を代表するもので はありません。 ありがとうございました。 2023/2/4 ©2023 Ohhara Shinichiro